Amikor a „készségek” válnak az ellátási lánc részévé: az OpenClaw piactér rosszindulatú programjainak ébresztője

Az elmúlt néhány évben a „mesterséges intelligencia ügynöke” kifejezés már nem pusztán marketingkifejezés, hanem valódi munkafolyamattá vált: egy asszisztens, amely képes olvasni a fájljaidat, megnyitni a böngésződet, parancsokat futtatni és műveleteket összefűzni a szolgáltatások között. Ez az ígéret.

A probléma az, hogyaz áramnak van egy elosztási csatornájaÉs ezt a csatornát egyre inkább a következőnek nevezik:készség: egy kis, megosztható „hogyan kell” csomag, amely megtanítja az ügynököt (és gyakran a felhasználót is), hogyan végezzen el egy feladatot. Ez az alkalmazásbolt pillanata az ügynökök számára – kivéve, hogy az „alkalmazások” gyakranjelölési utasítások.

A rosszindulatú OpenClaw készségekről szóló e heti jelentések korai és nagyon hangos jelzések arra, hogy a nyílt forráskódú ellátási láncok történetének megismétlésére készülünk – de egy csavarral: a lefordított függőség megmérgezése helyett a támadók megmérgezhetik...dokumentációés az ügynök segítőkészségét használd síkosítóként.

Az alábbiakban egy gyakorlati magyarázatot talál arról, hogy mi történt, miért működik olyan jól, és mit tehet ellene.

Mik az OpenClaw készségek (és miért fontosak)

Az OpenClaw egy egyszerű kiterjesztési modellt tett népszerűvé: be kell dobni egy „készséget”, amely elmagyarázza, hogyan kell elvégezni egy szűk feladatot – posztolni a közösségi médiában, törölni a mappákat, összefoglalni egy jelentést, automatizálni egy munkafolyamatot –, és az ügynök új képességre tesz szert.

A tágabb „ügynöki készségek” ökoszisztémában a készség jellemzően egy mappa, amely egySKILL.mdfájl. A fájl tartalma:

  • Metaadatok(név / leírás)
  • Utasítás(a tényleges lépések)
  • Opcionálisan:szkriptekés egyéb összevont eszközök

Ez ártalmatlannak hangzik, mert dokumentációnak tűnik. De a dokumentációt az emberek gyorsan követik, különösen, ha előfeltételek listájának vagy telepítési útmutatónak tűnik.

A készségek esetében a „győztes mindent visz” dinamika is érvényesül: az emberek a népszerű, az új és az időt megtakarítónak tűnő dolgokhoz vonzódtak. Ez teszi a nyilvános készségpiacot értékes célponttá: kompromisszumot kötve néhány legnépszerűbb letöltéssel elérhet egy koncentrált, kiemelt felhasználókból álló csoportot – fejlesztőket, operátorokat és bárkit, akinek értékes hitelesítő adatai vannak a gépén.

A lényeg: a Markdown már nem „tartalom” – hanem egy telepítő

A hagyományos szoftverellátási lánc támadások gyakran technikai beruházást igényelnek: függőségi zavar, elgépelés, rosszindulatú telepítés utáni szkriptek, a csomagnév feletti ellenőrzés fenntartása és a szkennerek kikerülése.

A szakképzett munkaerő piaca lejjebb teszi a lécet.

Egy rosszindulatú képesség valami egészen egyszerűt is képes elérni:

  1. Mutasson be egy elfogadható eszközt („Twitter-készség”, „kriptokövető”, „automatizálási segítő”).
  2. Adjon hozzá egy „Előfeltételek” részt egy „kötelező függőséggel”.
  3. Biztosítson egy kényelmes hivatkozást és egysoros parancsot.
  4. Bízd az emberre (vagy az ügynökre) a végrehajtását.

Ez nem egy újfajta szociális manipuláció – már évek óta használják –, de az ügynöki munkafolyamatokfelerősítazt:

  • Az ügynökök magabiztosan összefoglalják a dokumentációkat („Csak futtassa ezt a függőség telepítéséhez”).
  • Az ügynökök a parancsok generálásával csökkentik a súrlódást.
  • Bizonyos beállításokban az ügynökök maguk is futtathatnak shell parancsokat.

Ezen a ponton a „dokumentáció” távoli végrehajtási útvonallá válik.

A jelentések szerint mi történt az OpenClaw ökoszisztémában

Több írás is leír egy olyan kampányt, amelyben a támadók nagyszámú rosszindulatú képességet töltöttek fel a ClawHub piactérre, és „beállítási lépéseket” használtak információlopó rosszindulatú programok eljuttatására.

A 1Password munkatársa, Jason Meller szerint az egyik leggyakrabban letöltött képesség olyan utasításokat tartalmazott, amelyek egy szakaszos kézbesítési láncba terelték a felhasználókat: egy linket egy „függőséghez”, egy obfuszkált parancsot, majd egy hasznos adatot, amely végül egy olyan információlopót telepített, amelynek célja az értékes titkok kifosztása volt a gépen.

A CyberInsider a Koi Security kutatására hivatkozva hasonló mintázatot ír le nagy léptékben: trójai támadások előfeltételekkel (Előfeltételek) utasítják a felhasználókat obfuszkált shell szkriptek futtatására vagy jelszóval védett archívumok letöltésére, ami olyan hasznos programokban csúcsosodik ki, mint az Atomic macOS Stealer (AMOS) – egy rosszindulatú programcsalád, amelyet a hitelesítő adatok ellopásával és a pénztárca célzásával hoznak összefüggésbe.

Akár a pontos számok eltérnek a jelentések között, akáralakkövetkezetes:

  • Elosztásként használt készségek
  • „Előfeltételes” utasítások használata meggyőzésként
  • Az információlopók a végcél szerepét töltik be

Ez a végcél számít: a modern információlopók nem egyetlen jelszóra vadásznak, hanemmunkamenet-tokenek,böngészőprofilok,SSH-kulcsok,felhőalapú hitelesítő adatok, éskripto tárcákMás szóval: az a dolog, ami egyetlen feltört laptopot egy nagyobb kompromittálódássá változtat.

Ha valaha is azt gondoltad, hogy „én ezt nem dőlnék be”, akkor valószínűleg igazad van, amikor nyugodt és szkeptikus vagy.

Az ügynöki munkafolyamatok azonban megváltoztatják a kontextust:

  • A sebesség lesz az alapértelmezett.Ügynököt veszel igénybe, mert gyorsan akarsz cselekedni.
  • A kognitív terhelés kiszerveződik.Az ügynök egy kusza utasításlapot magabiztos ellenőrzőlistává alakít.
  • A hatalmat kölcsönzik.Ha az ügynök azt mondja: „Ez a standard függőség”, akkor úgy tűnik, hogy átgondolták.

Más szóval: az ügynököt nem kell technikai értelemben „becsapni”. Elég, ha jelen van, miközben egy kockázatos dolog megtételére ösztönöznek. Ez elég ahhoz, hogy viselkedésbeli ingadozást jelezzen.

És ha tecsináljHa az ügynök közvetlenül futtathat parancsokat, egy rosszindulatú képesség „kéz nélküli kompromittálódássá” válhat.

„De mi a helyzet az MCP-vel? Nem az a célja, hogy biztonságosabbá tegye a szerszámokat?”

A Model Context Protocol (MCP) valódi előrelépést jelent az eszközhozzáférés strukturálásában. Szabványosítja, hogy a hosztok hogyan teszik elérhetővé az eszközöket, erőforrásokat és promptokat, és hangsúlyozza a felhasználói beleegyezést és ellenőrzést.

Az MCP azonban nem teszi varázsütésre biztonságossá a „készségeket”.

Miért?

  • A képességek utasíthatják a felhasználókat parancsok futtatására az MCP határain kívül.
  • A készségek olyan szkriptekhez vagy letöltésekhez kapcsolódhatnak, amelyek soha nem érintik az MCP-t.
  • Nem minden képesség használ MCP-t.

Az MCP segíthet, ha a gazdagép erős jogosultságkezelést, egyértelmű hozzájárulási kérdéseket, naplózást és biztonságos alapértelmezéseket valósít meg. De egy markdown-alapú terjesztési mechanizmus továbbra is megkerülheti ezt a sima, szociális manipulációval.

Ez az ellátási lánc biztonságának ügynöki változata (és már jártunk itt korábban)

A szoftvervilág a saját kárán tanulta meg, hogy:

  • A népszerű nyilvántartásokat visszaélések érik.
  • Az elgépelés működik.
  • Az „Install this helper” (Telepítse ezt a segédprogramot) egy gyakori belépési pont.
  • A legértékesebb áldozatok azok, akik építenek.

A szakképesítési piacterek ezeket a tanulságokat két új gyorsítóeszközzel ötvözik:

  1. A „csomag” lehet utasítás, nem kód – és az utasításokat nehezebb megbízhatóan beolvasni.
  2. A futásidejű környezet hitelesítő adatokban gazdagtervezésileg: böngészők mindenbe bejelentkezve, SSH-kulcsokkal rendelkező terminálok, felhőalapú parancssori felületek, jelszókezelők és helyi fájlok.

Bizonyos értelemben a szakértelem piactér egy alkalmazásbolt, ahol a legnépszerűbb alkalmazások azt mondhatják, hogy „Másold be ezt a Terminálba a funkció engedélyezéséhez”. Ez nem egy egyetlen jelölőnégyzettel megoldható probléma.

Gyakorlati védelem (átlagos felhasználók számára)

Ha egy helyi hozzáféréssel rendelkező ügynökkel kísérletezel, akkor úgy kell kezelned, mint egy új, szuperképességekkel rendelkező operációs rendszer-felhasználót.

Íme a pragmatikus alapötlet:

  1. Használjon dedikált gépet vagy virtuális gépetügynökkísérletekhez. Nincsenek mentett vállalati bejelentkezések. Nincsenek éles SSH-kulcsok. Nincsenek felhőalapú adminisztrátori munkamenetek.
  2. Alapértelmezés szerint „nem” az egysoros telepítőknél.Különösen bármi, ami sh-ba curl-öl, base64-et használ, vagy az operációs rendszer védelmének eltávolítását kéri.
  3. Ne bízz a „legtöbbször letöltött” tartalomban.A népszerűség egy növekedési trükk, nem pedig biztonsági modell.
  4. Ha már futtattál valamit, akkor azt változtasd meg először, ami fontos.Böngésző munkamenetek, SSH kulcsok, API tokenek, felhőkulcsok.
  5. Előnyben részesítjük azokat a készségeket, amelyek forrás-ellenőrzöttek és felülvizsgálhatók(Git repók előzményekkel, ismert karbantartókkal, egyértelmű eredettel).

Mit kellene tenniük a piacoknak (ha túl akarnak élni)?

Ha nyilvános készségnyilvántartást futtatsz, akkor egy támadási felületet futtatsz.

Néhány gyakorlati lépés, amely jelentősen növeli a támadás költségét:

  • A kiadó hírneve és származása(ellenőrzött személyazonosságok, előzmények, aláírás).
  • Automatizált szkennelésgyanús minták keresésére (kódolt hasznos adatok, obfuszkált egysoros üzenetek, karantén eltávolítása, jelszóval védett archívumok, „telepítési alapfüggőség” külső webhelyen kívüli hivatkozásokkal).
  • Figyelmeztetés a felhasználói felület súrlódásárólkülső hivatkozásokhoz és shell parancsokhoz.
  • Gyors eltávolítás és látható incidensreagálás(úgy kezeld, mint egy alkalmazásboltot, ne pedig úgy, mint egy visszaélés gyűjtőhelyet).

Ezek egyike sem tökéletes, de időt nyernek – és a védőknek időre van szükségük.

Mire kell a jövőbeli ügynöképítőknek számítaniuk?

Ha magát az ügynök futásidejét építed, feltételezd, hogy a képességek fegyverként lesznek használva.

Ez azt jelenti:

  • Alapértelmezett megtagadás parancs végrehajtása(parancsonkénti hozzájárulást igényel, nem egyszeri és végleges váltást).
  • Erős sandboxolásfájlrendszerhez és böngészőhöz való hozzáféréshez.
  • Hatókörhöz kötött, időhöz kötött engedélyekkönnyű visszavonással.
  • Auditálható naplókarról, hogy mit olvasott fel az ügynök, és mit hajtott végre.

A végállapot ugyanaz az irány, amelyet a felhő évekkel ezelőtt is követett: identitás, szabályzat, minimális jogosultságok és auditnaplók – de lejjebb vitték a munkaállomások szintjére.

A lényeg

Az OpenClaw készségtörténete nem csak arról szól, hogy „néhányan rosszindulatú programokat töltöttek fel”. Ez egy előzetes a következő ellátási lánc csatateréről:a készségek disztribúcióként, a markdown végrehajtási útvonalként, az ügynökök pedig gyorsítóként működnek.

Ha az ügynökök a személyes és a munkahelyi gépeinken fognak működni, az ökoszisztémának szüksége van egy bizalmi rétegre, amely a készségpiacokat az alkalmazásboltokhoz hasonlóan, a dokumentációt a kódhoz hasonlóan, a „hasznos automatizálást” pedig privilegizált műveletként kezeli – nem pedig alkalmi kényelemként.


Források

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
a Magyar